不难想像，人类在史前成立的最早社区，部分原因是为了确保安全。自那时起直到现在，人类对安全保护的要求还未得到满足，但用于提供安全保护的人类体制在经历了原始部落——封地制度的封建王朝——民主政府后，已取得了大幅度进展。作为最终形态的民主政府，包括广泛从事安全保障活动的职能部门。

　　虽然有关安全保障的要求贯穿人类历史的进程中，但我们面临的威胁性质及我们需要保护的资产始终都在发展和扩展。希望政府保护其健康、生命和财产安全的公民期望值也是如此。近期，世界各国都被迫制订战略，以防止恐怖主义威胁公民的生命财产，并保护信息和信息技术资产。

　　本章将讨论当前政府安全保障的意义，重点讨论决定政府行为的作用力以及政府对解决安全问题做出的响应。

　　确定范围

　　如果没有看到政府致力于提高安全性的迹象，公民不会有兴趣浏览政府预算、聆听政治演说或阅读国家报纸。在某些国家，安全保障或国土安全是最常说的字眼。无论以什么术语来形容，政府和IT的安全现在已经成为越来越复杂的问题。

　　有意义的IT和政府安全性讨论，必须以理清所有相关主题作为起点。完成这项工作最简单的流程是将问题分成两组：

　　1. 保护信息资产——涉及到运行政府和私有机构的信息基础设施、数据和资产防护与响应的系列主题；

　　2. 增强人身和物理安全性的信息技术——一系列工具和技术，使政府能够在战略情报分析和灾难现场处理等各领域履行其使命。

　　这两组问题都带有大量的子问题。我们随后将就解决某些问题提供一些建议。下面，我们先来讨论是什么因素决定了政府在两个问题领域的行为。

　　指导政府行为的原则

　　我们使用IT提高安全性的想法始自于“决定政府威胁响应行为的作用力”评估。全世界的政府领导人都意识到追求安全性会导致一些互为抵触的目标之间棘手的选择问题，甚至是直接冲突。例如，某个公民认为合理的安全举措，在另一公民看来可能是政府的过度干预。解决这些冲突始终是政府领导人面临的挑战，但我们确实也看到了某些决策作用力的出现，它们将决定政府的安全政策方向和投资行为。

　　七个原则指导政府安全选择以及如何应用IT来实现目标。这些原则可用作对比两个或多个备选方案的检查标准，或用于帮助政府决定如何实现既定的安全目标。

　　1 为人身和财产提供最高级别的安全性。追求安全性是永不停止的活动，没有任何计划可提供万无一失的安全保护。政府被迫制订目标并确定工作优先级——某些领域不可避免地暴露于安全威胁中。政府为公民、公有和私有资产以及关键基础设施提供的安全保护优先顺序和程度，将随着新威胁的出现、公众对优先顺序的反馈以及实用解决方案的面世发生变化，以便检测并抵御各种安全风险。

　　2 尽快提供更高级别的安全性。许多国家及其政府都通过惨痛教训意识到了他们面临的威胁。其中某些威胁多年前就已记录在案；其他威胁是才发现的新威胁。显然，增强危机意识以消除新的威胁点非常重要。政府领导人面临的共同问题是如何加快消除暴露在风险中的区域以及识别各备选方案对迎接挑战提供多大帮助。这类讨论常常会得出两个不同结论：快速采取措施、适当提高安全性、逐渐提高安全保护水平；或者分阶段逐渐实施大刀阔斧的改进措施，拉大过渡时期的差距。激烈讨论总是围绕着‘快速采取小规模措施’还是‘采取大规模的长期措施’展开。

　　3 首先解决最严重的安全问题。对威胁进行确定和评估后，便可区分出它们的潜在危害程度。政府应首先解决影响国家长治久安的威胁，但是鉴于这些威胁的性质，解决它们的方法有限，要想牵制它们将需要很长时间。由于我们现在解决的许多此类威胁都是不对称的人造威胁，例如，恐怖主义或黑客的恶意攻击等，因此，我们制订决策时必须考虑敌方将给我们造成的损失，这样的决策才有意义。从攻击者的角度思索问题对许多政府和企业领导人来说都是挑战，但这是准确划分威胁顺序的关键步骤。

　　4 继续坚持资源支出最小化的原则。政府活动及服务交付的各个方面现都面临可支付性问题。安全计划消耗的全部资源不仅包括购买解决方案以提高检测、防御和响应力度，还包括这些解决方案的长期维护成本和人员成本，以及对经济产生的间接影响。

　　5 最大限度地降低对个人、社区和经济产生负面影响。世界各国采取各种方法应对人类历史各发展阶段的安全威胁。最强硬的限制方法常是最有效的方法。实现高级别安全性总是需要政府提供高层级的控制和检查。经济和社会影响是追求更高安全性的直接结果，尤其是在文化或经济依赖于人口和商品自由流动的国家。

　　6 最大限度地保护个人自由和生活方式。在许多国家，尤其是西方民主国家，通过政府监督、识别和检测威胁来提高安全性的举措可能威胁到人身自由和保密性传统。在这些国家中，讨论的主题常是‘公民要想获得更高级别的政府保护，需要牺牲多少自由’。

　　7 尽最大能力提供可持续保护。我们看到，有些安全增强措施是可持续的，而其他举措则很容易遭到攻击者的破坏。即使在追求迅速提高安全性期间，政府也应确保安全保护力度的提高不是权宜之计。实现这个目标需要有人能够站在攻击者的角度严格评估安全增强措施。最糟糕的情况莫过于：政府融资的安全保护措施为公民带来诸多不便，同时还使敌方有机可乘。　

　

上一篇电子商务： 《随需应变的政府》七：安全保障(2)

下一篇电子商务： 《随需应变的政府》六：开源软件的政府应用(4)